Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Anlise de trfego de
rede
( Wireshark )
Sumrio
Objetivos
Ferramentas de anlise de
trfego
Wireshark
Referncias
Anlise de Trfego
Objetivos
Camada de atuao de um
analisador de protocolos/trfego
Ferramentas
Tcpdump
Ngrep
Snort
Ethereal
Wireshark
Ferramentas: Tcpdump
Tcpdump (http://www.tcpdump.org/)
Ferramentas: Tcpdump
Exemplos de uso
Ferramentas: Tcpdump
Exemplos de uso
tcpdump -nn -i eth1 tcp port 80 and not host 192.168.200.3 captura e filtra o trfego na interface eth1, sem usar
resoluo de endereos e portas, para pacotes que no
tenham o endereo IP 192.168.200.3 e sejam para a porta
80
do exemplos
protocolo de
TCP,
de origem ou destino
Mais
uso:
http://packetlife.net/media/library/12/tcpdump.pdf
Ferramentas: Ngrep
Exemplos de uso:
Ngrep (http://ngrep.sourceforge.net/)
ngrep
d eth0
Bittorrent
Procura
por padres
no contedo dos
pacotes,
um
de rede
(lista
os pacotes
quegrep
contenham
a palavra Bittorent)
Disponvel para Linux e Windows
ngrep d eth0 Bittorrent|GNUTELLA not net
Linha de comando (similar a sintaxe da
192.168.200.0
and not port 587
ferramenta tcpdump)
(lista
os pacotes
que contenham
as palavras Bittorrent ou
Utiliza
a bibilioteca
libpcap/winpcap
GNUTELLA e que no sejam pertencentes a rede 192.168.200.0
Cdigo-fonte
aberto
e no
usem a porta 587
em origem ou destino)
Ferramentas: Snort
Snort
(http://www.snort.org)
10
Ferramenta: Ethereal
Ethereal
(
http://www.ethereal.com/ )
Analisador de trfego em linha
de comando e em interface
grfica
Disponvel para Windows/Linux
Cdigo-fonte aberto
Utiliza a biblioteca winpcap
Por motivos judiciais, o projeto
parou e o autor passou a
desenvolver o projeto
Wireshark
11
Ferramenta: Wireshark
Wireshark (www.wireshark.org/)
Analisador de trfego em linha de comando e em
interface grfica
Disponvel para Windows/Linux
Cdigo-fonte aberto
Utiliza a biblioteca winpcap
Uma ferramenta extremamente poderosa para anlise
de rede
12
Usando o Wireshark
Processo de instalao:
Fazer o download de:
http://www.wireshark.org/download.html
O processo de instalao insere a biblioteca
Winpcap no sistema operacional MS Windows;
Procedimento NEXT de instalao
Nas distribuies Linux, verificar os pacotes com o
nome wireshark
13
Usando o Wireshark
14
Usando o Wireshark
15
Usando o Wireshark
Capturando pacotes:
16
Usando o Wireshark
Analisando sesses:
17
Usando o Wireshark
Analisando sesses:
18
Usando o Wireshark
Filtros de pacotes:
19
Usando o Wireshark
Exemplos de filtros ( display filters ):
Todos os quadros Ethernet que contenham o
endereo fsico 00:22:64:7e:1a:3a:
eth.addr==00:22:64:7e:1a:3a
20
Usando o Wireshark
Exemplos de filtros ( display filters ):
Pacotes com o endereo IP 192.168.200.3:
ip.addr==192.168.200.3
21
Usando o Wireshark
Exemplos de filtros ( display filters ):
Pacotes TCP com a porta 80:
tcp.port==80
22
Op era dor es
Igual: eq ou ==
No igual: ne ou !=
Maior que: gt or >
Menor que: lt or <
Maior ou igual: ge ou >=
Menor ou igual: le ou <=
E lgico: and ou &&
Ou lgico: or ou ||
Ou exclusivo : xor or ^^
No lgico (negao): not ou !
Usando o Wireshark
23
Usando o Wireshark
24
Usando o Wireshark
Demonstrao
25
Referncias
Site do Wireshark:
http://www.wireshark.org
http://www.wireshark.org/docs/wsug_html_chunked/
Wireshark Wiki:
http://wiki.wireshark.org/
26